FreePBX Patches Critical SQLi, File-Upload, and AUTHTYPE Bypass Flaws Enabling RCE
2025/12/15 TheHackerNews —オープンソースの PBX プラットフォームである FreePBX に、セキュリティ脆弱性 CVE-2025-61675/CVE-2025-61678/CVE-2025-66039 が発見された。それらの脆弱性は、特定のコンフィグレーションに起因するものであり、認証バイパスにつながる可能性が生じる。2025年9月15日の時点で、このプロジェクトのメンテナーに報告された深刻な欠陥が、その後に Horizon3.ai により公表された。
Continue reading “FreePBX の脆弱性 CVE-2025-61675/61678/66039 が FIX:RCE を可能にする SQLi や認証バイパス”NVIDIA Merlin Vulnerabilities Allows Malicious Code Execution and DoS Attacks
2025/12/15 gbhackers — NVIDIA が 2025年12月9日に発表したのは、Merlin 機械学習フレームワークに存在する、深刻度の高い2件のデシリアライズの脆弱性に対する緊急セキュリティ・パッチである。このセキュリティ情報が明らかにするのは、大規模レコメンデーション・システムの構築に広く利用されている、オープンソース・フレームワーク NVIDIA Merlin の NVTabular/Transformers4Rec コンポーネントに深刻な欠陥が発見されたことだ。この脆弱性を悪用する攻撃者は、Linux システム上で悪意の実行/サービス拒否攻撃の誘発/機密データの侵害を可能にする。
Continue reading “NVIDIA Merlin の脆弱性 CVE-2025-33213/33214 が FIX:悪意のコード実行と DoS 攻撃の可能性”Critical pgAdmin Vulnerability Let Attackers Execute Shell Commands on the Host
2025/12/15 CyberSecurityNews — 人気のオープンソース PostgreSQL データベース管理ツール pgAdmin 4 に、深刻なセキュリティ脆弱性が発見された。この深刻な脆弱性 CVE-2025-13780 を悪用する攻撃者は、セキュリティ・フィルターを迂回し、ホスト・サーバ上で任意のシェル・コマンドを実行できる。この問題の原因は、アプリケーションのプレーンテキスト復元機能にあり、アップロードされたデータベース・ファイル内に隠された危険なコマンドを適切にブロックできない状況になっている。
Continue reading “pgAdmin 4 の深刻な脆弱性 CVE-2025-13780 が FIX:テキスト・フィルターの欠陥と RCE の可能性”Microsoft Bug Bounty Program Expanded to Third-Party Code
2025/12/13 SecurityWeek — 12月12日 (木) に Microsoft が発表した “In Scope by Default” というアプローチは、バグバウンティ・プログラムを大幅に拡充し、サードパーティ製のコードとオープンソース・コードも対象にするものだ。対象となる深刻な脆弱性が、Microsoft のサービスに影響を与える場合に限り、その脆弱性を発見/報告した研究者はバグバウンティの対象となる。
Continue reading “Microsoft バグバウンティが拡張:サードパーティ/オープンソースのコードも対象に”Empire 6.3.0 Released as Updated Post-Exploitation Framework for Red Teams
2025/12/13 gbhackers — BC-SECURITY が正式にリリースした Empire 6.3.0 は、レッド・チームおよびペネトレーション・テスター向けに設計された、広く使用されているポスト・エクスプロイトおよび攻撃者エミュレーション・フレームワークの重要なアップデート版である。この最新版では、ツールにおけるモジュール式アーキテクチャが強化され、堅牢なサーバ/クライアント・モデルを通じてオペレーターに高い柔軟性を提供する。
Continue reading “Empire 6.3.0 が正式リリース:レッド・チーム向けポスト・エクスプロイト・フレームワークの大規模更新”Apple 0-Day Vulnerabilities Exploited in Sophisticated Attacks Targeting iPhone Users
2025/12/13 CyberSecurityNews — Apple が公表したのは、iPhone iOS バージョン 26 以下を利用するユーザーを標的とした、高度な攻撃で積極的に悪用されている、WebKit の2件のゼロデイ脆弱性に対する修正である。2025年12月12日にリリースされた iOS 26.2/iPadOS 26.2 は、WebKit の脆弱性 CVE-2025-43529/CVE-2025-14174 に対処するものである。
Continue reading “Apple のゼロデイ脆弱性 CVE-2025-43529/14174 などが FIX:iOS 26 系で標的型攻撃を確認”2025/12/13 SecurityAffairs — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Google Chromium および Sierra Wireless AirLink ALEOS の脆弱性を Known Exploited Vulnerabilities (KEV) カタログに追加した。
カタログに登録された脆弱性は以下のとおりだ:
Google Warns Multiple Hacker Groups Are Exploiting React2Shell to Spread Malware
2025/12/13 CyberSecurityNews — Google Threat Intelligence Group (GTIG) が発表したのは、React Server Components に存在する深刻なセキュリティ脆弱性 CVE-2025-55182 が広範に悪用されている状況に対する警告である。この脆弱性 React2Shell を悪用する攻撃者は、パスワードを必要とせず、リモートからサーバを制御できる。2025年12月3日に脆弱性が公開された後に、複数のハッカー・グループが悪用していることを Google は確認している。攻撃者たちは、国家に支援されるスパイ・グループから、金銭的利益を目的とするサイバー犯罪者まで多岐にわたる。
Continue reading “React2Shell に対する Google の警告:React/Next.js を標的とするマルウェア拡散キャンペーン”Kali Linux 2025.4 released with 3 new tools, desktop updates
2025/12/12 BleepingComputer — Kali Linux が発表したのは、今年最後のアップデートとなるバージョン 2025.4 のリリースである。このアップデートに含まれるのは、3つの新しいハッキング・ツール/デスクトップ環境の改善/NetHunter における Wifipumpkin3 のプレビュー/Wayland サポートの強化などである。サイバー・セキュリティ専門家や倫理的ハッカーたちが、レッドチーム演習/ペンテスト/セキュリティ評価/ネットワーク調査を実施するために設計されたのが、Kali Linux ディストリビューションである。
Continue reading “Kali Linux 2025.4 がリリース:3つの新しいハッキング・ツール/デスクトップ環境の改善など”CISA Warns of OSGeo GeoServer 0-Day Vulnerability Exploited in Attacks
2025/12/12 CyberSecurityNews — OSGeo GeoServer が公開したのは、広く利用されているオープンソース地理データ共有サーバの、深刻なセキュリティ脆弱性に関する緊急アドバイザリである。それに並行して CISA も、この脆弱性を Known Exploited Vulnerabilities (KEV) カタログに追加した。この措置が示すのは、公共部門と民間部門を標的とする攻撃において、このゼロデイ脆弱性が脅威アクターたちに積極的に悪用されている状況である。新たに公開された脆弱性は CVE-2025-58360 として追跡され、XML 外部エンティティ (XXE) 参照の不適切な制限に分類される。
Continue reading “CISA KEV 警告 25/12/11:OSGeo GeoServer の脆弱性 CVE-2025-58360 を登録”MITRE Releases Top 25 Most Dangerous Software Weaknesses of 2025
2025/12/12 CyberSecurityNews — MITRE が公表したのは、2025年版 Common Weakness Enumeration (CWE) における最も危険なソフトウェアの脆弱性 Top-25 リストである。今年に登録された 39,080 件の Common Vulnerability and Exposure (CVE) の根本原因が、このリストにより明らかにされる。これらの蔓延する脆弱性は、多くの場合において検出と悪用が容易であり、攻撃者によるシステム制御の乗っ取り/機密データの窃取/アプリケーションの機能不全などを引き起こすものだ。それに対抗する開発者/セキュリティチーム/経営幹部は、この Top-25 リストにより、修正の優先順位付けと Software Development Lifecycles (SDLC) を再設定するためのロードマップを手にしたことになる。
Continue reading “MITRE Top-25:2025年に猛威をふるった脆弱性を CWE でランキング”OpenAI Enhances Defensive Models to Mitigate Cyber-Threats
2025/12/12 InfoSecurity —12月10日 (水) に OpenAI が発表したのは、モデル性能の急上昇に伴い社内計画を再構築したという声明である。そのレポートによると、Capture The Flag (CTF) チャレンジを用いた能力評価は、2025年8月の GPT-5 における 27% から、2025年11月の GPT-5.1-Codex-Max の 76% へと向上しているという。OpenAI が警告するのは、今後登場するシステムの一部が、同社の Preparedness Framework における高能力レベルに達する可能性である。そのレベルに達すると、複雑な侵入作戦からゼロデイ・エクスプロイトの開発に至るまでの、さまざまなタスクが支援されてしまう可能性があるという。
Continue reading “OpenAI が拡張する防御のモデル:AI の規模と精度が従来型の脅威と組み合わされる時代に”Brave browser starts testing agentic AI mode for automated tasks
2025/12/11 BleepingComputer — Brave が公開した新しい AI ブラウジング機能は、プライバシーを尊重する AI アシスタント Leo を活用し、ユーザーに代わってタスクを自動化するものである。この機能が目的とするのは、自動的な Web 検索/商品比較/プロモーションコードの発見/ニュース要約などのタスクの支援である。現在はテスト段階にあり、Brave Nightly バージョンからアクセスできる。この新しいエージェント AI ブラウジング・モードは、プライバシー重視のブラウザにおける AI とユーザーの緊密な統合に向けた第一歩となるが、デフォルトでは無効化されている。
Continue reading “Brave に AI ブラウジング機能が登場:タスクを自動化とセキュリティ維持を両立”Notepad++ fixes flaw that let attackers push malicious update files
2025/12/11 BleepingComputer — Notepad++ が公開したのは、WinGUp アップデート・ツールの脆弱性を修正するバージョン 8.8.9 である。研究者およびユーザーからインシデントが報告されたことを受け、このバージョンがリリースされた。その背景にあるのは、WinGUp アップデート・ツールが、正規のアップデート・パッケージではなく悪意の実行ファイルを取得するという問題である。この問題の最初の兆候は、Notepad++ コミュニティ・フォーラムのトピックで確認された。Notepad++ のアップデート・ツール GUP.exe (WinGUp) が、デバイス情報を収集する未知のコマンドである、”%Temp%\AutoUpdater.exe” というファイルを生成したと、あるユーザーが報告したのだ。
Continue reading “Notepad++ の脆弱性 CVE-N/A が FIX:悪意のアップデート・ファイル受信の可能性”High-Severity Jenkins Vulnerability Allows Unauthenticated DoS via HTTP CLI
2025/12/11 CyberSecurityNews — Jenkins が発表したのは、数百万の組織に影響を与える深刻なサービス拒否 (DoS) 脆弱性に対処するパッチである。この脆弱性 CVE-2025-67635 は、CI/CD (Continuous Integration and Continuous Deployment) パイプラインに広く利用される Jenkins の自動化サーバを利用する組織に対して深刻な影響を与える。その影響が及ぶ範囲は、Jenkins バージョン 2.540 以下 (LTS 2.528.2 以下) となる。
Continue reading “Jenkins の脆弱性 CVE-2025-67635 が FIX:CI/CD パイプラインに DoS 攻撃の恐れ”Google Alerts Users to Actively Exploited Chrome 0-Day Vulnerability
2025/12/11 gbhackers — Google が発表したのは、実際に悪用されている深刻なゼロデイ脆弱性に対処するための Chrome 緊急セキュリティ・アップデートである。Issue 466192044 として追跡されている、これらの脆弱性 CVE-2025-14372/CVE-2025-14373/CVE-2025-14174 は、世界中の Chrome ユーザーに差し迫った脅威をもたらすものだ。Google がリリースしたのは、Windows/Mac システム向けのパッチ適用済みバージョン 143.0.7499.109 / .110 と、Linux 向けのバージョン 143.0.7499.109 である。
Continue reading “Chrome のゼロデイ脆弱性 CVE-2025-14174 が FIX:境界外アクセスと積極的な悪用”644K+ Websites at Risk Due to Critical React Server Components Flaw
2025/12/11 gbhackers — Shadowserver Foundation が公表したのは、深刻な React2Shell 脆弱性 CVE-2025-55182 に関する情報の緊急アップデートである。そこで特定されたのは、依然として悪用される可能性のある大規模な攻撃対象領域である。この調査の一環として、2025年12月8日にスキャン・ベースの改善を実施した結果として、研究者たちが発見したのは、644,000 以上のドメインと 165,000 以上の固有 IP アドレスにおいて、依然として React Server Components の脆弱なインスタンスが稼働していることだった。
Continue reading “React Server Components の脆弱性 CVE-2025-55182:64 万以上の Web サイトに影響?”Gogs 0-Day Vulnerability Exploited in the Wild to Hack 700+ Instances
2025/12/11 CyberSecurityNews — 人気のセルフホスト型 Git サービス Gogs が公表したのは、深刻なゼロデイ脆弱性 CVE-2025-8110 が、現時点で悪用されているという情報である。この脆弱性を悪用する認証済みのユーザーは、シンボリックリンクを介して保護機構をバイパスし、リモート・コード実行 (RCE) を可能にする。この記事の執筆時点で、修正パッチは提供されていない。一部の研究者たちは、インターネット上で公開されている Gogs インスタンスの 50% 以上が、すでに侵害されていると推測している。
Continue reading “Gogs のゼロデイ脆弱性 CVE-2025-8110 の悪用を確認:700 以上のインスタンスに影響”U.S. CISA adds Microsoft Windows and WinRAR flaws to its Known Exploited Vulnerabilities catalog
2025/12/10 SecurityAffairs — 米国の Cybersecurity and Infrastructure Security Agency (CISA) が発表したのは、Microsoft Windows および RARLAB WinRAR の脆弱性を Known Exploited Vulnerabilities (KEV) カタログに追加したことである。今回のカタログに追加された脆弱性は以下のとおりである。
Threat Actors Exploit ChatGPT and Grok Conversations to Deliver AMOS Stealer
2025/12/10 gbhackers — サイバー・セキュリティを取り巻く状況が大きな転換点を迎えている。2025年12月5日に Huntress が公表したのは、単純に見えるベクターを用いて Atomic macOS Stealer (AMOS) を展開する巧妙かつ高度な攻撃キャンペーンである。このキャンペーンでは SEO 操作が行われ、OpenAI の ChatGPT および xAI の Grok プラットフォーム上での AI による会話が、信頼できるトラブルシューティング・ガイドのように偽装されている。
Continue reading “AMOS Stealer 攻撃キャンペーン:ChatGPT/Grok の AI 会話を悪用する脅威アクターたち”FortiSandbox Flaw Allows OS Command Injection and Remote Code Execution
2025/12/10 gbhackers — Fortinet が公表したのは、FortiSandbox プラットフォームに発見された脆弱性 CVE-2025-53949 に関する情報である。この脆弱性の悪用に成功した攻撃者は、影響を受けるシステム上で任意のコマンドや不正なコードの実行を可能にするため、この製品を脅威に対する高度な検出/分析に利用している組織に深刻なリスクが生じる。この脆弱性 CVE-2025-53949 は、OS コマンドで使用される特殊要素の不適切な無効化による OS コマンド・インジェクション (CWE-78) に分類される。この問題は FortiSandbox の GUI コンポーネントに存在する。
Continue reading “FortiSandbox の脆弱性 CVE-2025-53949 が FIX:OS コマンド・インジェクションと RCE の恐れ”Gemini Zero-Click Vulnerability Let Attackers Access Gmail, Calendar, and Docs
2025/12/10 CyberSecurityNews — Google が公開したのは、Google Gemini Enterprise (旧称 Vertex AI Search) に存在する GeminiJack と呼ばれる深刻なゼロクリック脆弱性に関する情報である。この脆弱性を悪用する攻撃者は、最小限の労力で Gmail/Calendar/Document から企業機密データを盗み出すことが可能だった。
Continue reading “Gemini の Zero-Click 脆弱性:GeminiJack という攻撃手法が Gmail/Calendar/Docs を侵害”Windows Cloud Files Mini Filter Driver 0-Day Exploited for Privilege Escalation
2025/12/10 gbhackers — Microsoft が公表したのは、Windows Cloud Files Mini Filter Driver に存在する、深刻な権限昇格の脆弱性 CVE-2025-62221 に関する情報である。この脆弱性を悪用するローカル攻撃者は、脆弱なマシン上でシステム・レベルのアクセス権を取得する可能性がある。この脆弱性は 2025年12月9日の Patch Tuesday で公開/対処されているが、Windows 環境に対する重大なセキュリティ脅威として認識されている。
Continue reading “Windows Cloud Files Mini Filter の権限昇格の脆弱性 CVE-2025-62221:すでに悪用を観測”Malicious MCP Servers Enable Stealthy Prompt Injection to Drain System Resources
2025/12/09 gbhackers — Model Context Protocol (MCP) のサプリング機能に、深刻な脆弱性が存在することを、Unit 42 のセキュリティ研究者たちが公表した。この脆弱性を悪用する悪意のサーバは、ステルス性の高いプロンプト・インジェクション攻撃を、ユーザーに気付かれることなく実行できる。その結果として、計算リソースの浪費や、LLM アプリケーションの侵害などが可能になる。発見された脆弱性は、プロトコル固有の信頼モデルと堅牢なセキュリティ制御の欠如を悪用する3つの主要な攻撃ベクターを持つ。
Continue reading “MCP で特定された3つの攻撃ベクター:悪意のサーバからの攻撃手法を分析する”Ruby SAML Library Vulnerability Let Attackers Bypass Authentication
2025/12/09 CyberSecurityNews — Ruby が公表したのは、SAML ライブラリに発見された深刻な脆弱性に関する情報である。この脆弱性を悪用する攻撃者は、影響を受けるアプリケーションの認証メカニズムを完全にバイパスする可能性がある。この脆弱性 CVE-2025-66567 が影響を及ぼす範囲はバージョン 1.12.4 以下であり、CVSS スコアは 10.0 (Critical) と評価されている。この脆弱性の原因は、以前に公表された脆弱性 CVE-2025-25292 に対する不完全な修正により、パーサーの解釈差による署名ラッピングが残ってしまった。
Continue reading “Ruby SAML ライブラリの脆弱性 CVE-2025-66567 (CVSS 10.0) が FIX:深刻な認証バイパス”Fortinet warns of critical FortiCloud SSO login auth bypass flaws
2025/12/09 BleepingComputer — Fortinet が発表したセキュリティ・アップデートは、FortiOS/FortiWeb/FortiProxy/FortiSwitchManager の2件の深刻な脆弱性に対処するものである。これらの脆弱性を悪用する攻撃者は、FortiCloud SSO 認証をバイパスする可能性がある。悪意の SAML メッセージを送信する攻撃者は、脆弱な製品の不適切な検証を介して、各製品におけるシグニチャ検証の脆弱性 CVE-2025-59718 (FortiOS/FortiProxy/FortiSwitchManager) と CVE-2025-59719 (FortiWeb) を悪用できる。
Continue reading “Fortinet の脆弱性 CVE-2025-59718/59719 が FIX:FortiCloud SSO に認証バイパスの可能性”CISA Adds Critical React2Shell Vulnerability to KEV Catalog Following Active Exploitation
2025/12/09 CyberSecurityNews — Meta React Server Components に影響を与える、深刻な脆弱性 CVE-2025-55182 が Known Exploited Vulnerabilities (KEV) カタログに追加された。それが意味するのは、米連邦政府においても、この脆弱性 React2Shell が広範に悪用されている状況である。このリモート・コード実行の脆弱性は、React Server Components を利用する組織にとって差し迫った脅威となっている。脆弱性 CVE-2025-55182 は、React Server Function エンドポイントに送信されるペイロードを、React Server Components がデコードする際の方法に起因する。
Continue reading “CISA KEV 警告 25/12/09:React Server Components の RCE 脆弱性 CVE-2025-55182 を登録”Ivanti warns of critical Endpoint Manager code execution flaw
2025/12/09 BleepingComputer — 12月9日に Ivanti が発表したのは、同社の Endpoint Manager (EPM) ソリューションに発見された脆弱性 CVE-2025-10573 に対する、パッチ適用に関する情報である。この脆弱性を悪用する攻撃者は、リモート・コード実行の可能性を得る。Ivanti の System/IT 資産管理ソリューションは、世界の 7,000 社以上の組織ネットワークを通じて、40,000 社以上のエンドユーザー企業に提供されている。同社の EPM ソフトウェアは、Windows/macOS/Linux/Chrome OS/IoT 上のクライアント・デバイスを管理する、オールインワンのエンドポイント管理ツールである。
Continue reading “Ivanti EPM の脆弱性 CVE-2025-10573/13659/13161/13662 が FIX:リモート・コード/XSS などの恐れ”Researchers Find Malicious VS Code, Go, npm, and Rust Packages Stealing Developer Data
2025/12/09 TheHackerNews — Microsoft Visual Studio Code (VS Code) マーケットプレイスに存在し、開発者のマシンに情報窃取型マルウェアを感染させる2つの新たなエクステンションが、サイバー・セキュリティ研究者たちにより発見/報告された。これら悪意の VS Code エクステンションは、プレミアム・ダークテーマや人工知能 (AI) 搭載のコーディング・アシスタントを装うが、実際には追加ペイロードのダウンロード/スクリーンショットの撮影/データ窃取といった隠れた機能を秘めている。それにより収集された情報は、攻撃者が管理するサーバに送信される。
Continue reading “VS Code に悪意のパッケージ:DLL ハイジャックにより開発者の機密情報を盗み出す”Burp Suite Upgrades Scanner With Detection for Critical React2Shell Flaws
2025/12/09 gbhackers — 広く利用されるペンテストツール Burp Suite の、エクステンション ActiveScan++ に対して大幅なアップグレードが行われた。それにより、深刻な脆弱性 React2Shell に対する特別な検出機能が、このスキャナーに追加されることになった。このアップデートは、深刻度の高い2つのセキュリティ脆弱性 CVE-2025-55182/ CVE-2025-66478 に対応するものだ。
Continue reading “脆弱性 React2Shell を検出:Burp Suite が CVE-2025-55182/ CVE-2025-66478 に対応”Google Chrome adds new security layer for Gemini AI agentic browsing
2025/12/09 BleepingComputer — Google が公開したのは、”User Alignment Critic” と呼ばれる新しい防御レイヤーを、Chrome ブラウザに導入する計画である。それにより、Gemini を搭載する今後のエージェント型 AI ブラウジング機能が保護されるという。エージェント型ブラウジングとは、自律的な AI エージェントがユーザーに代わって、Web 上で複数のタスクを実行する新しいモードである。具体的には、サイトのナビゲーション/コンテンツの読み取り/ボタンのクリック/フォームへの入力といった一連のアクションの実行などが自動的に実行される。
Continue reading “Gemini の AI ブラウジングを保護:Chrome に追加された新たなセキュリティ・レイヤーとは?”Akira Group Targets Hyper-V and VMware ESXi with Ransomware Exploiting Vulnerabilities
2025/12/09 gbhackers — 現代の企業 IT において、目に見えないバックボーンとして機能しているハイパーバイザーが、ランサムウェア集団の新たな主戦場となっている。Huntress の最新データによると、ランサムウェアを仕掛ける下準備として、ハイパーバイザーを標的とする攻撃が 2025 年後半に急増している。
Continue reading “Akira が標的にする Hyper-V と ESXi:3% から 25% に急増した攻撃試行”Microsoft December 2025 Patch Tuesday fixes 3 zero-days, 57 flaws
2025/12/09 BleepingComputer — 今日は Microsoft の December 2025 Patch Tuesday の日だ。この月例セキュリティ更新プログラムでは、57 件の脆弱性が修正されている。そこには、現在悪用されている脆弱性1件と、公開済みゼロデイ脆弱性2件が含まれる。また、今回の月例セキュリティ更新プログラムでは、深刻度 Critical のリモート・コード実行の脆弱性3件も修正されている。
Continue reading “Microsoft 2025-12 月例アップデート:3件のゼロデイを含む 57件の脆弱性に対応”CISA Warns of D-Link Routers Buffer Overflow Vulnerability Exploited in Attacks
2025/12/09 CyberSecurityNews — D-Link ルーターに影響を与える深刻なバッファ・オーバーフロー脆弱性 CVE-2022-37055 が、CISA の Known Exploited Vulnerabilities (KEV) カタログに追加された。それが示すのは、すでに米連邦政府内の実環境で、この脆弱性の悪用が確認されていることである。この脆弱性は、影響を受ける D-Link ネットワーク・デバイスに依存する組織のネットワークに深刻なリスクをもたらすものだ。
Continue reading “CISA KEV 警告 25/12/09:D-Link ルータの脆弱性 CVE-2022-37055 を登録”React2Shell Vulnerability Under Attack From China-Nexus Groups
2025/12/08 DarkReading — 人気のオープンソース JavaScript ライブラリ React に影響を与える深刻な脆弱性が、中国の国家に支援される脅威アクターたちの攻撃対象となっている。2025年12月3日 (水) に公開された CVE-2025-55182 は、未認証の攻撃者にリモート・コード実行 (RCE) を許す脆弱性である。この脆弱性は、安全でないデシリアライゼーションに起因し、React の広範な利用と、認証前の RCE の可能性により、深刻度は CVSS 10.0 と評価されている。
Continue reading “React2Shell の悪用試行の拡大を観測:中国に支援される脅威アクターによる攻撃キャンペーン”NETREAPER Offensive Security Toolkit That Wraps 70+ Penetration Testing Tools
2025/12/08 CyberSecurityNews — OFFTRACKMEDIA Studios が開発した統合型の攻撃セキュリティ・ツールキット NETREAPER は、70 種類以上のペンテスト・ツールを単一の使いやすいコマンドライン・インターフェイスに統合するものだ。この革新的な機能により、複数ターミナル上での操作/構文の記憶/各種のツールの管理といった煩雑な作業が解消される。
Continue reading “70種類のペンテスト・ツールを統合:NETREAPER が提供するシンプルなメニュー・ベースの環境とは?”Sneeit WordPress RCE Exploited in the Wild While ICTBroadcast Bug Fuels Frost Botnet Attacks
2025/12/08 TheHackerNews — WordPress 用プラグイン Sneeit Framework に存在する、深刻なリモートコード実行の脆弱性 CVE-2025-6389 (CVSS スコア: 9.8) が、脅威アクターたちにより悪用されていることが明らかになった。その影響が及ぶ範囲は、Sneeit Framework のバージョン 8.3 以下となる。この脆弱性は、2025年8月5日にリリースされたバージョン 8.4 で修正されている。Wordfence のデータによると、このプラグインは 1,700 以上のアクティブ・インストールを保有するという。
Continue reading “WordPress Sneeit プラグインの CVE-2025-6389 が FIX:ICTBroadcast の脆弱性 CVE-2025-2611 とボットネット攻撃”2025/12/08 CyberSecurityNews — AI 駆動型 IDE (Integrated Development Environment) の登場により、ソフトウェア開発環境は根本的に変化した。GitHub Copilot/Gemini CLI/Claude Code などのツールは、単純な自動補完エンジンから、タスクを実行する自律エージェントへと進化した。しかし、生産性の急速な追求がセキュリティ・ギャップを生み出している。本来は自律性を想定して設計されていないレガシー IDE アーキテクチャを、それぞれのベンダーがエージェントに直接統合したことで、図らずも攻撃対象領域が拡大されてしまった。それを IDEsaster と呼ぶ。
Continue reading “IDEsaster という新たな脆弱性クラス:GitHub Copilot/Gemini CLI/Claude などに深刻な影響”Next.js Releases Scanner to Detect and Fix Apps Affected by React2Shell Vulnerability
2025/12/08 gbhackers — Next.js が発表したのは、深刻な React2Shell 脆弱性との戦いに用いる新たなツールのリリース情報である。この新しいスキャナーにより、開発チームに対してシンプルなワンライナー・ソリューションが提供され、Next.js/React Server Components (RSC) の脆弱なバージョンの特定および、必要なセキュリティ・アップデートの速やかな適用が可能になる。
Continue reading “Next.js 用の React2Shell スキャナーがリリース:影響を受けるアプリの自動検出とパッチ適用”LockBit 5.0 Infrastructure Exposed in New Server, IP, and Domain Leak
2025/12/07 CyberSecurityNews — LockBit 5.0 の主要インフラが漏洩した。それにより明らかになったのは、IP アドレス “205.185.116.233” とドメイン “karma0.xyz” が、このランサムウェア・グループの最新リークサイトをホストしているという事実である。研究者 Rakesh Krishnan によると、このサーバは違法行為に頻繁に悪用されるネットワーク AS53667 (PONYNET:FranTech Solutions が運営) でホストされている。
Continue reading “LockBit 5.0 のインフラが漏洩:判明した IP アドレスとドメインのブロックが必須”Malicious Go Packages Impersonate Google’s UUID Library to Steal Sensitive Data
2025/12/06 gbhackers — Go プログラミング/エコシステムには、4年以上も前から危険な要素が潜んでいた。人気の Google ツールを装う2つの悪意のソフトウェア・パッケージを、Socket Threat Research Team のセキュリティ研究者が発見した。これらの偽パッケージは、多忙な開発者を欺くように設計され、2021年5月以降において秘密裏にデータを盗み続けていた。
Continue reading “Google UUID/pborman ライブラリを装う悪意の Go パッケージ:開発者を標的に4年間も存続”New wave of VPN login attempts targets Palo Alto GlobalProtect portals
2025/12/06 BleepingComputer — Palo Alto Networks の GlobalProtect ポータルを標的とするログイン試行と、SonicWall SonicOS API エンドポイントに対するスキャン活動が確認された。それらの活動は 12月2日に開始され、ドイツの IT 企業 3xK GmbH が運営するインフラからの 7,000 以上の IP アドレスを起源としている。3xK GmbH は独自の BGP ネットワーク (AS200373) を運用し、ホスティング・プロバイダーとして活動している企業である。
Continue reading “Palo Alto GlobalProtect/SonicWall SonicOS API を標的とするスキャン活動:VPN ログイン試行が再び増加”2.15M Next.js Web Services Exposed Online, Active Attacks Reported – Update Immediately
2025/12/06 gbhackers — React の深刻な脆弱性 CVE-2025-55182 (通称 “React2Shell”) の公表を受け、世界中のセキュリティ・チームがシステムへのパッチ適用を急いでいる。この欠陥は React Server Components (RSC) に影響を及ぼし、CVSS スコアは最高評価の 10.0 に達しており、深刻な影響と悪用されやすさを示している。
Continue reading “React を用いるサービス 215 万件以上が攻撃対象:React2Shell 公開直後から積極的な悪用を確認”Researchers Hack Google’s Gemini CLI Through Prompt Injections in GitHub Actions
2025/12/06 CyberSecurityNews — PromptPwnd と呼ばれる深刻な脆弱性クラスは、GitHub Actions および GitLab CI/CD パイプラインに統合された AI エージェントに影響を与える。この脆弱性を悪用する攻撃者は、Issue タイトルや Pull Request 本文といった信頼できないユーザー入力を介して悪意のプロンプトを注入し、AI モデルを騙して特権コマンドを実行させ、機密情報の漏洩やワークフローの改竄を引き起こす。少なくとも Fortune 500 企業の5社が影響を受ける可能性があり、その中にはパッチが適用されたばかりの Google Gemini CLI リポジトリも含まれていた。
Continue reading “Google Gemini CLI 標的の PoC:GitHub Actions などに影響する深刻な AI プロンプト脆弱性”Zero-Click Agentic Browser Attack Can Delete Entire Google Drive Using Crafted Emails
2025/12/05 thehackernews — Perplexity の Comet ブラウザを標的とする、新たなエージェント型ブラウザ攻撃が、最新の調査により発見されたと Straiker Labs が公表した。この攻撃は、無害に見えるメールを破壊的なアクションに変貌させ、ユーザーの Google Drive コンテンツ全体を消去する能力を持つ。ゼロクリックの Google Drive ワイパー攻撃は、Comet ブラウザを Gmail や Google Drive などのサービスに接続して定型タスクを自動化し、メール閲覧/ファイルとフォルダの閲覧に加えて、コンテンツの移動/変更/削除といった操作へのアクセスを許可するものだ。
Continue reading “Perplexity Comet 標的の Zero-Click 攻撃:悪意のメールを介した Google Drive 操作”Cloudflare Outage Caused by React2Shell Mitigations
2025/12/05 securityweek — 12月3日に明らかになった React2Shell (CVE-2025-55182) とは、認証を必要としないリモート・コード実行を、脅威アクターに許す脆弱性である。したがって、React の広範な利用状況を考えると、React2Shell の悪用機会に中国由来の脅威アクターたちが飛びついたのは当然のことである。Google Cloud/AWS/Cloudflare などの企業は、この脆弱性に即座に対応した。
Continue reading “React2Shell CVE-2025-55182 対策で問題が発生:Cloudflare がダウンした理由は?”Apache Tika Core Flaw Allows Attackers to Exploit Systems with Malicious PDF Uploads
2025/12/05 gbhackers — Apache メンテナーが公表したのは、Apache Tika に存在する深刻な脆弱性に関するセキュリティ・アドバイザリである。この脆弱性を悪用する攻撃者は、悪意の PDF ファイルをアップロードするだけで情報漏洩を引き起こす可能性がある。なお、この脆弱性 CVE-2025-66516 が影響を及ぼす範囲は、Apache Tika コア/Apache Tika パーサ/Apache Tika PDF パーサ・モジュールとなる。
Continue reading “Apache Tika Core の脆弱性 CVE-2025-66516 が FIX:悪意の PDF を介した情報漏洩”NVIDIA Triton Vulnerability Let Attackers Trigger DoS Attack Using Malicious Payload
2025/12/05 CyberSecurityNews — NVIDIA が公表したのは、Triton Inference Server の脆弱性 CVE-2025-33211/CVE-2025-33201 を修正する、緊急セキュリティ・アップデートのリリースである。どちらの脆弱性も CVSS スコア 7.5 であり、緊急のパッチ適用が優先されるべき脅威であることを示している。これらの脆弱性がリモートの攻撃者に悪用されると、システム・クラッシュが生じる可能性があるという。
Continue reading “NVIDIA Triton の脆弱性 CVE-2025-33211/33201 が FIX:悪意のペイロードによる DoS 攻撃”Avast Antivirus Sandbox Vulnerabilities Allow Privilege Escalation
2025/12/05 gbhackers — Avast Antivirus の aswSnx.sys ドライバに存在するカーネルヒープ・オーバーフローの脆弱性 CVE-2025-13032 を、SAFA の研究者たちが発見した。この脆弱性が影響を及ぼす範囲は、Avast Antivirus for Windows のバージョン 25.3 以下である。この脆弱性は IOCTL 処理におけるダブルフェッチの問題に起因し、プール・オーバーフローを引き起こすローカル攻撃者に対して、SYSTEM 権限への昇格を許すものだ。また、この脆弱性の悪用にはサンドボックス内での操作が必要であり、一般的に想定されるサンドボックス・エスケープの攻撃シナリオとは異なる性質を持つ。
Continue reading “Avast Antivirus の脆弱性 CVE-2025-13032:サンドボックス下での権限昇格”PoC Exploit Released for Critical React, Next.js RCE Vulnerability (CVE-2025-55182)
2025/12/05 CyberSecurityNews — React Server Components に存在するリモート・コード実行 (RCE) 脆弱性 React2Shell に対する概念実証 (PoC) エクスプロイトが公開された。この脆弱性 CVE-2025-55182 は CVSS:10.0 と評価されており、世界中の開発者に警戒が高まっている。この脆弱性が影響を及ぼす範囲は、React のバージョン 19.0.0~19.2.0、および、App Router を使用する Next.js 15.x/16.x となる。サーバ機能を明示的に実装していないアプリケーションであっても、React Server Components (RSC) を使用している場合には影響を受ける可能性がある。
Continue reading “脆弱性 React2Shell CVE-2025-55182:PoC エクスプロイト公開により警戒高まる”
IoT OT Security News 
You must be logged in to post a comment.